Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Thème 7 : Centralisation de la journalisation et de la surveillance
<a name="theme-7"></a>

**Huit stratégies essentielles abordées**  
Contrôle des applications, application de correctifs, restriction des privilèges administratifs, authentification multifactorielle

AWS fournit des outils et des fonctionnalités qui vous permettent de voir ce qui se passe dans votre AWS environnement. Il s’agit des licences suivantes :
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)vous aide à surveiller vos AWS déploiements en créant un historique des appels d' AWS API pour votre compte, y compris les appels d'API effectués via les outils de ligne de commande et AWS Management Console AWS SDKs,. Pour les services compatibles CloudTrail, vous pouvez également identifier les utilisateurs et les comptes qui ont appelé l'API du service, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels.
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) vous CloudWatch aide à surveiller les indicateurs de vos AWS ressources et des applications que vous utilisez AWS en temps réel.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) vous aide à centraliser les journaux de tous vos systèmes et applications, Services AWS afin que vous puissiez les surveiller et les archiver en toute sécurité.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) est un service de surveillance continue de la sécurité qui analyse et traite les journaux afin d'identifier les activités inattendues et potentiellement non autorisées dans votre AWS environnement. GuardDuty s'intègre EventBridge à Amazon afin de lancer une réponse automatique ou d'avertir un humain.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fournit une vue complète de votre état de sécurité dans AWS. Il vous permet également de vérifier que votre AWS environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité.

Ces outils et fonctionnalités sont conçus pour augmenter la visibilité et vous aider à résoudre les problèmes avant qu'ils n'affectent négativement votre environnement. Cela vous permet d'améliorer le niveau de sécurité de votre entreprise dans le cloud et de réduire le profil de risque de votre environnement.

## Bonnes pratiques associées au AWS Well-Architected Framework
<a name="theme-7-best-practices"></a>
+ [SEC04- BP01 Configurer la journalisation des services et des applications](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
+ [SEC04- BP02 Capturez les journaux, les résultats et les indicateurs dans des emplacements standardisés](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)

## Implémentation de ce thème
<a name="theme-7-implementation"></a>

### Activation de la journalisation
<a name="t7-enable-logging"></a>
+ [Utiliser l' CloudWatch agent pour publier les journaux au niveau du système dans Logs CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ [Configurer des alertes pour les GuardDuty résultats](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#setup-sns)
+ [Créez un parcours d'organisation dans CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)

### Mettre en œuvre les meilleures pratiques de sécurité de journalisation
<a name="t7-logging-security"></a>
+ [Mettre en œuvre les meilleures pratiques de CloudTrail sécurité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Utilisation SCPs pour empêcher les utilisateurs de désactiver les services de sécurité](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (article de AWS blog)
+ [Chiffrez les données du journal dans CloudWatch Logs en utilisant AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)

### Centralisez les journaux
<a name="t7-centralise-logs"></a>
+ [Recevoir CloudTrail les journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Envoyer des journaux vers un compte d'archivage de journaux](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
+ [Centraliser les CloudWatch journaux dans un compte à des fins d'audit et d'analyse](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/) (article de AWS blog)
+ [Gestion centralisée d'Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
+ [Créez un agrégateur à l'échelle de l'organisation dans AWS Config(article de blog](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html))AWS 
+ [Gestion centralisée du Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
+ [Centralisez la gestion de GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ [Pensez à utiliser Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)

## Surveillance de ce thème
<a name="theme-7-monitoring"></a>

### Mettre en œuvre des mécanismes
<a name="t7-finding-mechanisms"></a>
+ Mettre en place un mécanisme pour examiner les résultats du journal
+ Mettre en place un mécanisme pour examiner les conclusions du Security Hub CSPM
+ Mettre en place un mécanisme pour répondre aux GuardDuty conclusions

### Implémentez les AWS Config règles suivantes
<a name="t7-cc-rules"></a>
+ `CLOUDTRAIL_SECURITY_TRAIL_ENABLED`
+ `GUARDDUTY_ENABLED_CENTRALIZED`
+ `SECURITYHUB_ENABLED`
+ `ACCOUNT_PART_OF_ORGANIZATIONS`